实训目的

· 利用扩展ACL进行访问限制。

实训背景

ACL(Access Control List, 访问控制列表)是指对流经路由器或交换机的数据包根据一定的规则进行过滤的控制,可以提高网络可管理性和安全性。扩展ACL是可基于源地址、目地址及端口号作为判断依据,从而决定规定符合条件的数据包是否允许通过。扩展ACL可以实现用户对WWW服务、FTP服务分别做出是否可访问的决策。

实训拓扑

实训所需设备:

环境:Cisco Packet Tracer 8.0
设备: 2台PC,1台三层交换机,1台路由器

实训步骤

步骤1:配置第一条ACL策略

禁止vlan10访问vlan20,但192.168.10.2这个地址不受限制。

R1:

Router#conf t
Router(config)#hostname R1
R1(config)#int e0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.1.2 255.255.255.0
R1(config-if)#int e0/1
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.2.2 255.255.255.0
R1(config)#ip route 192.168.10.0 255.255.255.0 172.16.1.1  //配置访问192.168.10.0网段静态路由
R1(config)#ip route 192.168.20.0 255.255.255.0 172.16.1.1 //配置访问192.168.20.0网段静态路由

SW1:

Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#hostname SW1
SW1(config)#vlan 10
SW1(config-vlan)#vlan 20
SW1(config-vlan)#exit
SW1(config-if)#int e0/2
SW1(config-if)#no switchport
SW1(config-if)#ip address 172.16.1.1 255.255.255.0
SW1(config-if)#int vlan 20
SW1(config-if)#no shutdown
SW1(config-if)#ip address 192.168.20.1 255.255.255.0  //配置vlan20的网关地址
SW1(config-if)#exit
SW1(config-if)#int e0/2
SW1(config-if)#no switchport
SW1(config-if)#ip address 172.16.1.1 255.255.255.0
SW1(config)#int e0/0
SW1(config-if)#switchport access vlan 10       //把e0/0接口划入到vlan 10
SW1(config-if)#int e0/1
SW1(config-if)#switchport access vlan 20
SW1(config)#ip route 172.16.2.0 255.255.255.0 172.16.1.2 //开启去往R1的静态路由
步骤2:配置ACL,并在SVI接口调用。
SW1(config)#ip access-list extended 100   //创建扩展(高级)访问控制列表,扩展IP列表号范围为100-199
SW1(config-ext-nacl)#10 permit ip host 192.168.10.2 any   //允许192.168.10.2访问所有网段
SW1(config-ext-nacl)#20 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255     //不允许VLAN10网段192.168.10.0/24访问VLAN20网段192.168.20.0/24
SW1(config-ext-nacl)#30 permit ip any any   // ACL默认最后一句是deny ip any any ,故为保证其他数据能通过必须配置一条permit ip any any
SW1(config-ext-nacl)#exit
SW1(config)#int vlan 10
SW1(config-if)# ip access-group 100 in       //在vlan10的网关上应用ACL

查看ACL配置

步骤3:给PC1、PC2、Web配置IP地址

PC1:

PC2:

Web:

步骤4:测试验证

1) PC1去ping PC2,不通。

2)  PC1更改ip为192.168.10.2去ping PC2,网络通。

查看ACL配置

步骤5:配置第二条ACL策略

禁止vlan20在每天的8:00到18:00访问Web服务器,其他时间可以访问。

SW1(config)#time-range acl-time   //命名一个叫做acl-time的时间段
SW1(config-time-range)#periodic daily 8:00 to 18:00  //每天的8:00到18:00
SW1(config-time-range)#exit
SW1(config)#ip access-list extended 101  //创建扩展(高级)访问控制列表101,扩展IP列表号范围为100-199
SW1(config-ext-nacl)#10 deny ip 192.168.20.0 0.0.0.255 172.16.2.0 0.0.0.255 time-range acl-time  //配置禁止vlan 20网段192.168.20.0/24用户在每天的8:00到18:00访问Web服务器
SW1(config-ext-nacl)#20 permit ip any any
SW1(config)#int vlan 20
SW1(config-if)#ip access-group 101 in  //在接口下调用ACL,应用在in的方向

测试验证:当时时间是12:00

把系统时间调为19:00后,测试网络通。

查看配置

实验问题:

1) 扩展ACL可匹配源地址、目的地址、IP协议,tcp、udp、icmp、igmp待协议;

2) 如要允许所有目的端口是tcp80端口的流量:Ruijie(config)#access-list 100 per tcp any any eq 80

3) 扩展ACL号为100-199和2000-2699

注意:通配符、ACL应用

0.0.0.0 = 0

255.255.255.255 = any

基本(标准)ACL:离目标越近越好。

高级(扩展)ACL:离源地址越近越好。

最后修改:2022 年 05 月 22 日
如果觉得我的文章对你有用,请随意赞赏